检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
TCP/UDP端口范围,否则除默认端口外的其他端口将无法被外部访问。 说明: 端口号小于20106会和系统组件的健康检查端口冲突,引发集群不可用;端口号高于32767会和操作系统的随机端口冲突,影响性能。 容器网段配置(VPC网络模型集群支持) 当创建集群时设置的容器网段太小,无
登录CCE控制台,单击集群名称进入集群。 查看集群总览页,在右边“连接信息”下证书认证一栏,单击“下载”。 图1 获取证书 在弹出的“证书获取”窗口中,根据系统提示选择证书的过期时间并下载集群X509证书。 下载的证书包含client.key、client.crt、ca.crt三个文件,请妥善保管您的证书,不要泄露。
容节点,使得集群有足够资源;而当HPA缩容后集群会有大量空余资源,这时需要CA缩容节点释放资源,才不至于造成浪费。 如图1所示,HPA根据监控指标进行扩容,当集群资源不够时,新创建的Pod会处于Pending状态,CA会检查所有Pending状态的Pod,根据用户配置的扩缩容策略
260 8 4 KVM c3.15xlarge.4 60 256 16/16 500 16 8 KVM 通用计算型 通用计算型弹性云服务器提供基本水平的vCPU性能、平衡的计算、内存和网络资源,同时可根据工作负载的需要实现性能的突增,具有短期发挥更高性能的能力。 表8 通用计算型实例特点
情页面,查找网络ID。 方法2:通过虚拟私有云服务的查询子网列表接口查询。 节点默认安全组 集群默认的Node节点安全组ID,不指定该字段系统将自动为用户创建默认Node节点安全组,指定该字段时集群将绑定指定的安全组。Node节点安全组需要放通部分端口来保证正常通信。 参数名 取值范围
Administrator、CCE FullAccess等),也可以在CCE控制台授予某个集群的命名空间权限。但由于CCE控制台界面权限是由IAM系统策略进行判断,如果IAM子用户未配置集群管理(IAM)权限,该子用户将无法进入CCE控制台。 如果您无需使用CCE控制台,只使用kubec
更优的流程交互设计,脚本编写量较传统CI/CD流水线减少80%以上,让CI/CD管理更高效。 灵活的集成方式 提供丰富的接口便于与企业已有CI/CD系统进行集成,灵活适配企业的个性化诉求。 高性能 全容器化架构设计,任务调度更灵活,执行效率更高。 建议搭配使用 容器镜像服务SWR + 对象存储服务OBS
的目录权限不相同。 umask值用于为用户新创建的文件和目录设置缺省权限。如果umask的值设置过小,会使群组用户或其他用户的权限过大,给系统带来安全威胁。因此设置所有用户默认的umask值为0077,即用户创建的目录默认权限为700,文件的默认权限为600。 可以在启动脚本里面
完成后,可在容器工作负载中作为文件或者环境变量使用。 密钥配置 敏感操作保护 CCE控制台支持敏感操作保护,开启后执行删除集群敏感操作时,系统会进行身份验证,进一步保证CCE的安全性。 敏感操作保护介绍 父主题: 安全
容节点,使得集群有足够资源;而当HPA缩容后集群会有大量空余资源,这时需要CA缩容节点释放资源,才不至于造成浪费。 如图1所示,HPA根据监控指标进行扩容,当集群资源不够时,新创建的Pod会处于Pending状态,CA会检查所有Pending状态的Pod,根据用户配置的扩缩容策略
Admission定义了三种标签,如表2,您可以在某个命名空间中设置这些标签来定义需要使用的Pod安全性标准级别,但请勿在kube-system等系统命名空间修改Pod安全性标准级别,否则可能导致系统命名空间下Pod故障。 表2 Pod Security Admission标签 隔离模式(mode) 生效对象 描述
<none> 80/TCP 5s 创建Statefulset Statefulset的YAML定义与其他对象基本相同,主要有两个差异点: serviceName指定了Statefulset使用哪个Headless Service,需要填写Headless
先保障在线业务的网络带宽。 约束与限制 使用出口网络带宽保障特性需满足以下要求: 仅支持Huawei Cloud EulerOS 2.0操作系统的节点。 仅支持CCE Turbo集群,且集群版本为v1.23及以上。 集群中需要安装Volcano 1.9.0及以上版本的插件,且开启
docker info |grep "Cgroup" 显示如下: Cgroup Driver: cgroupfs 表明容器引擎使用的cgroup系统为cgroupfs,并未使用systemd cgroup,不受此漏洞影响。 漏洞修复方案 华为云CCE集群未开启runc的systemd
根据集群规模和高可用模式计费。 节点(弹性云服务器 ECS) 实例规格 包括vCPU和内存。 云硬盘 随包年/包月云服务器创建的云硬盘,其计费模式也为包年/包月。包括系统盘和数据盘。 弹性公网IP 通过CCE控制台创建的包年/包月云服务器仅支持绑定“按带宽计费”的弹性公网IP。如需使用“按流量计费”或“加入
在NVIDIA Container Toolkit v1.16.1及更早版本的环境中,攻击者通过运行一个恶意镜像,可能实现容器逃逸,从而获得主机系统的访问权限。成功利用此漏洞可能会导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。 判断方法 如果集群未安装CCE AI套件(NVIDIA
请在业务低峰期操作。如果Pod具有特定的节点选择器,且集群中的其他节点均不符合标准,则工作负载实例可能仍处于无法安排的状态。 删除过程中,系统会把当前节点池中的节点均设置为不可调度状态。 操作步骤 登录CCE控制台。 单击集群名称进入集群,在左侧选择“节点管理”,在右侧选择“节点池”页签。
disabled的标签,避免DNSConfig自动注入,详情请参见常见问题。 node-local-dns-injection标签为NodeLocal DNSCache使用的系统标签,除避免DNSConfig自动注入的场景外,应避免使用该标签。 插件安装 CCE提供了节点本地域名解析加速插件,可以快捷安装NodeLocal
0df5 # 自定义安全策略ID,优先级高于系统预置的安全策略 kubernetes.io/elb.tls-ciphers-policy: tls-1-2-fs # 系统预置的安全策略 spec: selector:
23及以上。 节点操作系统为Huawei Cloud EulerOS 2.0。 CCE Turbo集群的弹性云服务器-物理机节点不支持使用CPU管理策略。 操作步骤 登录CCE控制台。 单击集群名称进入集群,在左侧选择“节点管理”,在右侧选择“节点池”页签。 选择一个操作系统为Huawei
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
